感恩节前一天,美国卫生与公众服务部(HHS)公民权利办公室(OCR) 宣布 是针对Lahey医院和医疗中心(Lahey)的2015年最大的和解协议。这次事件促成了85万美元的和解,显然是一起孤立的盗窃案,涉及599名患者,他们在一个未锁定的治疗室中,用一台用于X线扫描的放射线笔记本电脑上的电子保护健康信息(ePHI)。

与报告的违规行为之后,OCR进行的所有调查一样,OCR确定了医院据称未能遵守HIPAA的几个区域:

  • 无法对其所有ePHI进行彻底的风险分析
  • 无法物理保护访问ePHI的工作站
  • 无法实施和维护有关在诊断/实验室设备上使用的工作站上维护的ePHI的保护的政策和程序
  • 缺少唯一的用户名,无法识别和跟踪与此事件有关的工作站的用户身份
  • 无法执行记录和检查此事件中有问题的工作站中的活动的过程
  • 不允许泄露599个人的PHI

阅读更多>>