2013年第三,美国卫生和人类服务部(HHS)办公室(OCR) 最近宣布了 170万美元 解决方案协议 与健康保险公司和管理护理公司的Wellpoints,Inc。。来自阱的茎’S 2010年6月18日,向OCR报告了关于在线申请数据库中的安全弱点,这些申请数据库的安全弱点(EPHI)在2009年至2010年间未经互及的个人近五个月内达到了612,402人,可供未经授权的个人近五个月。信息可访问,出生日期,社会安全号码,电话号码和健康信息。

回应井点’据报告,OCR启动了其对井光的调查’遵守2010年9月9日的隐私,安全和违规通知规则.OCR’S调查表明以下内容:

  • 与安全规则下的义务相反,Wellpoint无法充分实施用于授权访问其基于Web的申请数据库的Ephi的政策和程序;
  • Wellpoint未能进行足够的技术评估,以确保在适当的情况下达到安全规则的要求,以满足运营变革的安全规则— a software upgrade —这会影响以其基于Web的应用程序数据库维护的EPHI的安全性;
  • 2009年10月23日之间,2010年3月7日,Wellpoint未能充分实施技术,以验证寻求在基于Web的应用程序数据库中维护的Ephi的人员或实体;和
  • 在同一时间段内,WelloPoint不受欢迎地披露了在基于Web的应用程序数据库中维护的大约612,000个个人的Ephi。

直接在hhs致辞’S关于福利地区的新闻稿,HHS指示涵盖的实体及其商业伙伴制定合理和适当的技术,行政和实际保障,以保护埃文的机密性,完整性和可用性。如前所述 数据隐私监视器,2013年9月23日开始,HIPAA违规的责任将直接扩展到接收或储存PHI的商业伙伴。