编辑’注意:这篇文章最初出现在BakerHostetler上’的Data Privacy Monitor博客。

2014年5月7日,美国卫生与公共服务部(HHS)民权办公室(OCR)宣布与纽约长老会医院(NYP)和哥伦比亚大学(CU)达成两项解决协议,总金额为480万美元,创历史新高迄今为止的数据泄露解决金额。这些解决协议明确表明,组织必须能够提出步骤,以分析HIPAA指定的电子保护健康信息(ePHI)的安全风险,并计划管理已识别风险的策略。

作为背景,NYP和CU是参与联合安排的独立覆盖实体,在该联合安排中,CU教职员工以隶属名称“纽约长老会医院/哥伦比亚大学医学中心”的身份担任NYP的主治医师。这两个实体运营着一个共享数据网络和一个共享网络防火墙,该防火墙由两个实体的员工管理。共享网络允许访问包含ePHI的NYP患者信息系统。

与HHS 光学字符识别达成的NYP和CU解决协议源于这些实体于2010年9月27日提交的关于6800个人的ePHI披露的联合违规报告。当一位在CU上任职的医生(同时为NYP和CU开发应用程序)试图停用包含NYP ePHI的网络上的个人计算机服务器时,发生了违规行为。这样就可以在Internet搜索引擎上获得患者信息。 NYP和CU收到个人投诉后,得知该违规行为,该人在互联网上找到了该死者伴侣(一名前NYP患者)的ePHI。受影响的患者信息包括患者状态,生命体征,药物和化验结果。

HHS 光学字符识别对NYP和CU的调查始于2010年11月5日,并指出:

  • 当重新配置了可以访问NYP ePHI信息系统的计算机服务器时,NYP不允许向Google和其他Internet搜索引擎泄露6800名患者的ePHI;
  • NYP和CU无法进行准确而透彻的风险分析,无法使用ePHI整合所有IT设备,应用程序和数据系统;
  • NYP和CU无法实施访问和监视在违规事件发生之前与NYP患者数据库链接的所有IT设备,应用程序和数据系统的流程,并且未能实施足以将其ePHI的风险和漏洞降低到最小的安全措施。合理和适当的水平;和
  • NYP无法实施授权访问其NYP患者数据库的适当策略和程序,并且未能遵守自己的信息访问管理策略。

除了从NYP(330万美元)和CU(150万美元)中支付的款项外,两个实体还必须遵守纠正措施计划(CAP)。关于纠正措施:

  • NYP应修改其现有的风险分析流程,并制定和实施风险管理计划;
  • NYP将制定增强的隐私和安全意识计划;
  • CU应进行彻底的风险分析,并制定和实施风险管理计划;
  • CU应审查和修订有关信息访问管理的内部政策和程序;
  • CU应制定隐私和安全意识培训计划;
  • NYP和CU应审查和修订各自在设备和媒体控制方面的政策和程序;和
  • NYP和CU均应实施评估影响其各自ePHI安全的任何环境或运营变更的过程。

每个实体的CAP的期限为三年。两家实体都必须在履行义务之前提交其义务下要求的文件,以供HHS 光学字符识别审查和批准。此外,每个实体必须向HHS 光学字符识别提交有关可报告事件,实施状态和CAP遵守情况的报告。

HHS 光学字符识别最近的HIPAA执法历史表明,它打算根据《安全规则》强制执行HIPAA风险分析和缓解要求。具体而言,根据45 C.F.R. §§164.308(a)(1)(i)(ii)(A)和(B),组织必须对ePHI的机密性,完整性和可用性的潜在风险和脆弱性进行准确而彻底的评估,并实施安全性足以将风险和脆弱性降低到合理和适当水平的措施,以:

  • 确保创建,接收,维护和/或传输的ePHI的机密性,完整性和可用性;
  • 防止对此类信息的安全性或完整性造成任何合理预期的威胁或危害;
  • 防止对任何不允许或不需要的信息进行合理预期的使用或披露;
  • 确保员工合规。

在向HHS 光学字符识别报告数据泄露之后,通常会要求组织提供一份与事件事实相关的最新风险分析和缓解计划的副本,或者提供最新的整体分析和计划。已经有 额外注意风险分析 与健康信息技术国家协调员办公室(ONC)于2014年3月发布了其安全风险评估工具。OCR最近还宣布了其 为下一轮HIPAA审核做准备,这很可能会侧重于HIPAA要求,涵盖了实体最“不了解”的实体,包括风险分析要求。

及时彻底的安全风险分析和缓解是OCR的热键。实体必须审查其当前的风险分析和缓解计划,以确定是否可以评估和缓解ePHI的机密性,完整性和可用性的潜在风险和脆弱性。