пятница, 9 августа 2013 г.

США: Компания WellPoint выплатит Министерству здравоохранения 1,7 миллиона долларов за то, что персональные медицинские данные оказались свободно доступными через интернет


Данный пресс-релиз Министерства здравоохранения США (U.S. Department of Health & Human Services) был опубликован 11 июля 2013 года на сайте BusinessWire.

Компания-поставщик услуг по медицинскому уходу WellPoint Inc. согласилась выплатить Министерству здравоохранения и социальных служб США (HHS) штраф в размере 1,7 млн. долларов, чтобы закрыть дело о возможных нарушениях правил по защите персональных данных и обеспечению их безопасности, установленных в соответствии с Законом о переносимости и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA), принятым в 1996 году.

Текст соответствующего мирового соглашения (Resolution Agreement)  доступен на сайте Управления по гражданским правам Министерства здравоохранения по адресу http://www.hhs.gov/ocr/privacy/hipaa/enforcement/examples/wellpoint-agreement.html .

Этот случай должен послужить сигналом для всех подпадающих под требования HIPAA лиц и организаций, побудив их проявлять осторожность при осуществлении существенных изменений в своих информационных системах, особенно если эти изменения связаны с обновлениями веб-приложений или порталов, используемых для предоставления интернет-доступа к данным о здоровье клиентов.

Управление Министерства здравоохранения по гражданским правам (HHS Office for Civil Rights, OCR) начало свое расследование после получения от компании WellPoin извещения об утечке данных, представленного в соответствии с требованиями закона HITECH (Закон об использовании медицинских информационных технологий в клинической и экономической деятельности - Health Information Technology for Clinical and Economic Health Act, HITECH - был принят в 2009 году – Н.Х.). Введённое законом HITECH правило требует от всех лиц и организаций, подпадающих под действие закона HIPAA, уведомлять Министерство здравоохранения о фактах утечки незащищённой персональной медицинской информации.

Согласно уведомлению, недостатки в системе безопасности работающей в онлайн-режиме прикладной базы данных привели к тому, что стал возможен несанкционированный интернет-доступ к подлежащим защите электронным медицинским данным 612 тысяч человек.

В ходе проведенного Управлением по гражданским правам расследования было установлено, что компания WellPoint не приняла надлежащие организационные и технические меры в соответствии с требованиями Правила обеспечения безопасности закона HIPAA (HIPAA Security Rule). В частности, выяснилось, что компания:
  • Не реализовала  надлежащим образом политику и процедуры авторизации доступа к прикладной базе данных;

  • Не провела надлежащую техническую оценку в связи с обновление программного обеспечения своих информационных систем;

  • Не реализовала технических мер защиты для проверки физических и юридических лиц, желающих получить доступ к защищаемой электронной медицинской информации, хранящейся в прикладной базе данных.
В результате, начиная с 23 октября 2009 года и до 7 марта 2010 года, компания WellPoint несанкционированно раскрыла персональные медицинские данные на 612 тысяч клиентов, предоставив доступ к информации, хранящейся в базе данных. Эти данные включали имена, даты рождения, адреса, номера социального страхования, номера телефонов и информацию о здоровье.

Вне зависимости от того, осуществляются ли обновления систем самими лицами и организациями, подпадающими пот требования закона HIPAA, или их ассоциированными деловыми партнерами, Министерство здравоохранения ожидает от организаций наличия внедренных в практику разумных и адекватных технических, организационных и физических мер безопасности для защиты конфиденциальности, целостности и доступности электронной медицинской информации - в особенности информации, доступной через Интернет.

Начиная с 23 сентября 2013 года ответственность за выполнение многих требований HIPAA будет распространяться непосредственно на ассоциированных деловых партнеров, получающих или хранящих конфиденциальную медицинскую информацию, например, на подрядчиков и субподрядчиков.

Граждане, считающие, что подпадающее под закон HIPAA лицо или организация нарушило их права (или права третьих лиц) на конфиденциальность информации о здоровье или совершило иное нарушение правил HIPAA по защите персональных данных и обеспечению их безопасности, могут подать жалобу в Управление по гражданским правам на портале https://ocrportal.hhs.gov/ocr/cp/complaint_frontpage.jsf  .

Источник: сайт BusinessWire
http://www.businesswire.com/news/home/20130711006294/en/WellPoint-pays-HHS-1.7-million-leaving-information

Комментариев нет:

Отправить комментарий