美国卫生与公共服务部(HHS)民权办公室(OCR)最近宣布了 2013年第四次决议协议。 Affinity Health Plan,Inc.是一项为纽约大都市地区提供服务的非营利性管理计划,已同意以120万美元的价格解决可能违反HIPAA隐私和安全规则的行为。解决协议与亲和力有关’的2010年4月15日,向OCR报告了由Affinity的代表联系Affinity的事件 CBS晚间新闻 关于一份调查报告,CBS购买了Affinity先前租用的复印机,其硬盘驱动器上包含大约344,579个人的机密医疗信息。

在2010年5月19日,针对Affinity’在报告中,OCR开始了对亲和力的调查’遵守《隐私权,安全性和违反通知规则》。光学字符识别’的调查表明:

  • 当亲和力在将影印机发送给租赁公司之前未能正确擦除影印机硬盘驱动器时,不允许披露电子受保护的健康信息(ePHI);
  • Affinity无法评估和识别影印机硬盘驱动器中存储的ePHI的安全风险和漏洞;和
  • Affinity无法执行其有关影印机硬盘驱动器处置ePHI的政策。

除了和解金额外,Affinity还同意一项120天的纠正措施计划,其中规定了以下内容:

  • Affinity将尽最大的努力来取回Affinity先前租借的复印机中包含的所有复印机硬盘驱动器,这些硬盘驱动器仍保留在租赁代理人的手中,并保护其中包含的所有ePHI免受不允许的披露。 Affinity必须提供尽力而为的文件或提供书面证明其已满足此要求。
  • Affinity将对ePHI安全风险和漏洞进行全面的风险分析,其中包括Affinity控制,拥有或租赁的所有电子设备和系统。在实施和培训Affinity人员之前,必须将此风险分析提供给OCR进行审查和建议的更改。

在HHS中直接解决’在有关亲和力和解的新闻稿中,HHS建议涵盖实体意识到保护敏感数据的重要性,请参阅 美国联邦贸易委员会指导NIST指导 和OCR培训。敏感数据可以存储在笔记本电脑,拇指驱动器和外部硬盘驱动器之外的设备上。因此,确定是否存在其他可能尚未存储过的ePHI可能存储的ePHI的设备和设备应作为定期风险评估的一部分。随着2013年9月23日开始执行《最终规则》,针对上述潜在HIPAA违规行为的责任也将直接扩展至接收或存储PHI的业务伙伴。