从2014年开始,HHS 光学字符识别 发布了 年度第一份决议协议,以及与县政府的第一份和解协议-发出信号,即使地方和县政府,无论规模大小,都必须遵守HIPAA来保护患者信息的隐私和安全。

华盛顿州斯卡吉特县(县)位于华盛顿州西北部,约有118,000名居民,同意以215,000美元的现金付款和三年的纠正措施计划(CAP)解决可能违反HIPAA隐私,安全和违约通知规则的行为。斯卡吉特县公共卫生部门为无法负担医疗费用的居民提供基本服务。解决协议的依据是该县于2011年12月9日向HHS 光学字符识别 发出的通知,称在ePHI被无意转移到由该县维护的可公开访问的服务器后,未知方访问了7个人的ePHI收据。

2012年5月25日,OCR将调查情况通知了该县,并指出:

  • 从2011年9月14日至2011年9月28日,该县披露了大约1,581个人的ePHI(最初报告的不仅仅是7个人);可访问的文件包含敏感信息,包括有关传染病测试和治疗的PHI;
  • 从2011年11月28日起,直至达成解决协议之日,该县未按照违反通知规则的要求提供通知;从2005年4月20日到达成解决协议之日,该县未执行足够的政策和程序来预防,检测,遏制和纠正安全违规行为;
  • 从2005年4月20日到2012年6月1日,该郡未能以书面或电子形式实施和维护合理设计以确保遵守《安全规则》的政策和程序;和
  • 从2005年4月20日开始,直到达成决议协议为止,该县未能向员工(包括其信息安全人员)提供必要的和适当的在员工在县内履行职责的安全意识和培训。 。

作为解决方案的一部分,为期三年的纠正措施计划着重于有关事件的替代通知;审查县的披露会计程序,包括有关事件的信息;县的混合实体和业务伙伴文档;县的安全管理流程;创建和修订该县涵盖的医疗保健组成部分的政策和程序;对涉及该县覆盖的医疗保健部门的县级员工进行培训,这些人员有权使用ePHI来遵守隐私,安全和违规通知规则;并向HHS 光学字符识别 调查并向涵盖医疗保健部门的工作人员未能遵守规定的情况进行报告。在三年期间,该县还应向HHS提交有关该县遵守CAP的年度报告,其中应包括报告期内所采取的安全管理措施的摘要,报告期间确定的可报告事件的摘要。报告期以及任何纠正和预防措施的状态,以及由县官员签署的证明书,以证明审查,合理的查询和报告的准确性。

光学字符识别 针对Skagit县采取的行动表明,所有充当受保护实体的组织(包括可能是混合实体的地方政府和县政府之类的机构)都必须遵守HIPAA并通过政策和程序以及适当的劳动力培训来保护患者信息。正如HHS 光学字符识别 的健康信息隐私副总监Susan McAndrew所说,“ [A]机构需要采用有意义的合规计划,以确保患者信息的隐私和安全。”

可以找到有关Skagit县解决协议的HHS 光学字符识别 新闻稿的副本 这里 .

该决议至少是OCR第二次对政府实体进行罚款。县医院区,州学术医学中心和其他政府覆盖实体应审查其对HIPAA的遵守情况,并确保实施适当的行政,物理和技术保障措施。 光学字符识别 已明确指出,政府实体必须遵守HIPAA,OCR会毫不犹豫地调查和罚款违规的承保实体。