美国卫生和人类服务部(HHS)公民办公室(OCR)最近宣布了其 第四次决议协议2013年。 Affinity Healtal Plan,Inc。是纽约大都会地区的非营利托管管理计划,已同意以120万美元的价格解决HIPAA隐私和安全规则的潜在侵犯。该决议协议涉及亲和力’S 2010年4月15日,向OCR报告了一个代表与亲和力联系的事件 CBS晚报 关于调查报告,CBS购买了以前通过的亲和力租赁的复印机,其中硬盘驱动器包含约344,579个个人的机密医疗信息。

2010年5月19日,回应亲和力’据报告,OCR启动了对亲和力的调查’遵守隐私,安全和违反通知规则。 OCR.’S调查表明以下内容:

  • 当它在将复印机发送到租赁公司之前无法正确擦除复印机硬盘时,亲和力不受欢迎的电子保护的健康信息(EPHI);
  • 亲和力未能评估和确定存储在复印机硬盘中的EPHI的安全风险和漏洞;和
  • 亲和力未能对复印机硬盘执行ephi处理的政策。

除了结算金额外,亲和力还商定了一个120天的纠正措施计划,规定了以下内容:

  • 亲和力将利用其最佳努力来检索以前通过亲和力租用的复印机中包含的所有复印机硬盘驱动器,这些复印机仍然持有租赁代理,并保护所有伊诺伊州的所有EPHI免受不允许的披露。亲和力必须提供最佳努力的文档或提供已完成此要求的书面认证。
  • 亲和力将对Ephi安全风险和漏洞进行全面的风险分析,包括通过亲和力控制,拥有或租用的所有电子设备和系统。必须向OCR提供此风险分析,以便在执行和培训亲和力工作人员之前进行审查和建议的变更。

直接在hhs致辞’关于亲和力解决方案的新闻稿,HHS建议涵盖实体认识到对保护敏感数据的重要性,提及 FTC.指导NIST指导 和OCR培训。敏感数据可以存储在仅限笔记本电脑,Thumb驱动器和外部硬盘之外的设备上。结果,确定是否有其他设备和设备可以存储尚未考虑的EPHI应该是周期性风险评估的一部分。在2013年9月23日开始执行最终规则,潜在的HIPAA违规行为的责任,如上述情况,也将直接扩展到收到或储存PHI的商业伙伴。