编者注:这篇文章是与BakerHostetler的共同投稿 数据隐私监控器 blog.

2013年1月25日,美国卫生与公众服务部(HHS)民权办公室(OCR)发布了期待已久的HIPAA Omnibus最终规则(最终规则),其中包括自隐私和安全规则已发布。根据最终规则,业务合作伙伴和分包商应遵守OCR的隐私和安全规则直接向OCR负责,并可能因违反而受到民事罚款。 《最终规则》还扩展了“业务伙伴”一词的定义,并要求业务伙伴与分包商签订子业务伙伴协议。最终规则还包括对标准的重要更改,该标准用于确定是否发生了违反受保护健康信息(PHI)的情况,因此必须通知受影响的个人。具体而言,最终规则取代了先前的标准,该标准要求对违规行为是否会对受影响的个人造成重大财务,声誉或其他损害的风险进行主观分析,OCR称之为更客观的标准,认为违规行为已经发生除非所涵盖的实体根据以下四个因素的分析可以证明PHI被入侵的可能性很小:(1)PHI的性质和程度; (二)涉案人员; (3)是否实际获取或查看了PHI; (4)减轻危害的程度。此外,《最终规则》修改了HIPAA的营销和筹款规定,要求获得有效的营销交流授权以换取财务报酬,并为个人提供明显而明显的机会,使其选择退出接受筹款交流。 《最终规则》还禁止卫生计划将遗传信息用于承保目的,将披露范围限制在患者自付费用的卫生计划中,并要求承保实体在可能的情况下以电子形式提供要求的记录。

光学字符识别在2013年总共发布了六项解决协议,其和解协议的民事罚款额从50,000美元到170万美元不等,而纠正措施计划的期限从60天到两年不等。 2013年的解决协议代表了OCR对两种主要的作为/不作为的关注:(1)持续未能遵守HIPAA隐私和安全规则,以及(2)不可原谅的披露。 2013年1月,OCR宣布了其第一份和解协议,该协议源于违反事件,据报道,该事件涉及不到500名患者 北爱达荷州的临终关怀 在其提交给OCR的年度报告中,该报告涉及2013年6月未加密的笔记本电脑被盗。 光学字符识别发现未能对便携式电子设备上的PHI进行风险分析,未采取适当的安全措施以应对潜在风险以及未能按照《安全规则》记录决策依据的情况。 2013年5月,OCR宣布与以下公司达成和解协议,继续专注于识别和缓解安全风险 爱达荷州立大学 关于2011年8月的一次事件,由于禁用服务器上的防火墙保护,PHI至少保持了10个月不安全。 2013年6月,OCR宣布与 沙斯塔地区医疗中心 源自2012年1月SRMC领导者向各种媒体不当披露患者信息。此后不久,OCR于2013年7月宣布了其解决协议,以及当年最大的CMP-170万美元 WellPoint,Inc. 关于WellPoint在线应用程序数据库在2009年至2010年期间超过5个月的安全漏洞的信息,这使未经授权的个人可以通过Internet访问ePHI。 光学字符识别关注的是WellPoint无法评估安全风险,包括在软件升级期间可能会影响其基于Web的应用数据库中维护的ePHI的安全性。 光学字符识别于2013年8月宣布了本年度的第五项解决协议,该协议再次着眼于组织的失败, 亲和健康计划有限公司 (亲和力),以评估和识别与ePHI相关的安全风险和漏洞。 光学字符识别的调查重点是Affinity在将影印机发送给租赁公司之前未能正确擦除影印机硬盘驱动器的情况下对ePHI的不当披露。到2013年底,HHS 光学字符识别与 成人&儿科皮肤科 (APDerm),一家在马萨诸塞州和新罕布什尔州提供皮肤病学服务的私人诊所。 光学字符识别专注于APDerm缺乏解决HITECH Act违规通知条款的政策和程序。正如2013年OCR解决方案协议所表明的那样,各种规模和类型的组织都必须继续确定如何最大程度地确保患者获得PHI的机会,同时在2014年之前充分保护PHI。鉴于2014年,执法活动可能会增加 监察办 2013年11月的报告 关于OCR监督和HIPAA安全规则的执行。根据2013年解决方案协议,作为有效的HIPAA安全合规性计划的一部分,涵盖实体及其业务伙伴必须继续分析风险,进行持续的风险管理并审查例行信息系统。

除了上面讨论的解决协议之外,我们继续看到医疗保健实体在2013年全年都对数据泄露事件做出了响应。涵盖实体报告了近145起事件,影响了500或更多个人,其中很大一部分归因于未加密电子设备的丢失或被盗设备和纸质记录仍然引发许多事件。从2013年事件中,被涵盖实体继续了解,违规响应并不会在通知中停止。集体诉讼中的原告继续主张各种诉讼原因,包括根据州和联邦法律,以试图追回所称实体因未能保护患者信息而造成的损害。除了集体诉讼外,我们继续看到OCR和州检察长参与了数据泄露响应和调查。这些监管机构不仅将其工作范围限于所涵盖的实体,而且还针对此类实体的业务伙伴采取了行动。因此,在来年,我们预计许多涵盖实体和业务伙伴将重新审查其业务伙伴协议,分析和分配风险,并实施新的隐私和安全措施以更好地遵守适用法律。