电脑安全

美国卫生与公共服务部民权办公室(OCR)继续执行违反HIPAA的解决方案协议,仅从两个实体获得545万美元, 明尼苏达州北部纪念卫生保健(NMHCM) and the费恩斯坦医学研究所(Feinstein),在一周内。解决方案协议强调,业务伙伴协议和安全风险分析是HIPAA规则的“主要基石”,处理患者信息的研究机构所采用的标准与用于保护患者数据的涵盖实体相同。从这些解决方案协议以及我们与OCR进行的调查中判断,OCR认为业务伙伴协议和安全风险分析对于所涵盖实体的HIPAA遵从性是“轻而易举的事情”。

NMHCM解决

2016年3月16日,NHMHM同意支付155万美元,原因是七个月未能与主要承包商Accretive Health(一家医院收入周期管理公司)达成商业合作协议,并且未能进行全组织范围的风险分析解决患者信息的风险和漏洞。在OCR调查之前,NHMHM曾报告称一名增生健康公司员工被锁着的车辆失窃了笔记本电脑。作为业务伙伴,Accretive Health可以访问NMHCM的医院数据库,其中包含289,904位患者的受保护健康信息(PHI)。失窃的笔记本电脑受到密码保护,但未加密,并且包含大约9,497名NMHCM患者的PHI。

费恩斯坦定居点

Feinstein是由诺斯韦尔健康公司(Northwell Health Inc.)赞助的生物医学研究机构,诺斯韦尔健康公司是一家大型医疗系统,由21家医院和450多个患者设施及医师组成,并同意就2012年提交给OCR的违规报告支付390万美元。包含PHI的笔记本电脑约有13,000名患者正在等待参加一项研究。

光学字符识别的调查得出结论,费因斯坦未能进行风险分析并没有实施以下措施:

  • 员工使用电子PHI(ePHI)的政策和程序
  • 包含ePHI的笔记本电脑的物理防护措施可限制未经授权的用户访问
  • 管理包含ePHI的硬件和电子媒体进出设施以及在设施内移动的政策和程序
  • 一种加密ePHI的机制,或者记录为何加密不合理和不适当的原因,并实施等效的替代措施来保护ePHI。