单个受密码保护的笔记本电脑被盗如何变成企业范围内对组织数据保护实践的审查。

在宣布美国卫生与公共服务部,民权办公室(OCR)和天主教188足球比赛服务之间的最近和解之后,OCR宣布了另一项重要的和解协议和纠正行动计划(CAP),这次是与大学密西西比医学中心(UMMC)。该协议对杰克逊188足球比赛中心(该州为数不多的公共学术188足球比赛中心之一)施加了275万美元的罚款和三年CAP。

在2013年3月的一起事件中,OCR开始调查UMMC,该事件涉及UMMC188足球比赛重症监护病房的一台装有约10,000名患者的ePHI的笔记本电脑失踪。随之而来的OCR对188足球比赛中心是否符合HIPAA法规的查询发现了许多违规行为,包括未能做到:

  • 实施政策和程序,以充分预测和防范安全漏洞;
  • 保护ePHI可访问的工作站并采取物理保护措施,以限制对授权用户的访问;
  • 制定可以跟踪个人员工对ePHI的访问的唯一用户ID;和
  • 尽管在其网站和本地媒体上提供了替代通知,但仍直接通知可能已访问了不安全ePHI的个人。

除了对UMMC处以巨额罚款外,188足球比赛中心还同意进行为期三年的CAP,以强制要求对UMMC的数据安全措施进行一系列内部修改。这些要求包括安装监视器以观察并报告188足球比赛中心对CAP的遵守情况,进行风险分析并制定新的风险管理计划以解决由OCR识别的安全漏洞,推出独特的用户识别系统以充分跟踪个人拥有ePHI特权,对有权使用ePHI的员工进行安全意识培训,并向OCR提供年度合规报告。

UMMC的和解突出显示了拉线如何解开毛衣。在此,OCR的调查是在盗用一台受密码保护的便携式计算机后触发的,后来变成了企业范围内对UMMC数据保护实践的审查。由此产生的解决方案加强了对涵盖实体解决潜在安全漏洞并确保简单问题不会对组织造成重大责任的需求。

组织必须定期进行风险分析,并通过相应的风险管理计划实施必要的补救措施,这一点至关重要。

Peter B.Steffensen对本文做出了贡献。