понедельник, 16 сентября 2013 г.

США: Наложен семизначный штраф за нарушение требований по защите персональных медицинских данных


Заметка Дианы Бурке (Dianne J. Bourque – на фото) была опубликована 15 августа 2013 года на блоге «Вопросы права и политики в здравоохранении» (Health Law & Policy Matters), принадлежащем консультационной фирме Mintz Levin.

Наложенный только что Управлением по гражданским правам (Office for Civil Rights, OCR, http://www.hhs.gov/ocr/office ) Министерства здравоохранения США семизначный штраф за нарушения требований закона HIPAA («Закон о переносимости и подотчётности медицинского страхования» 1996 года, регламентирующий, в частности, вопросы защиты медицинских данных и защиты неприкосновенности личной жизни – Н.Х.) стал следствием неудаления конфиденциальной медицинской информации с жёсткого диска взятого в аренду фотокопировального устройства.

Согласно условиям мирового соглашения с компанией Affinity Health Plan, Inc, та выплатит свыше 1,2 миллиона долларов. Таковы последствия того, что компания Affinity, не обеспечила удаление конфиденциальной медицинской информации большого числа лиц (по оценкам, до 350 тысяч), когда возвращала владельцу ряд арендованных копировальных аппаратов. В ходе расследования Управление по гражданским правам, установило, что Affinity не предусмотрела мер защиты для хранящихся на жестких дисках фотокопировальных устройств данных в своих HIPAA-политиках и процедурах обеспечения безопасности.

Помимо денежного штрафа, Управление обязало компанию выполнить условия Мирового соглашения и Плана мероприятий по устранению недостатков (см. http://www.hhs.gov/ocr/privacy/hipaa/enforcement/examples/affinity_agreement.pdf ), согласно которым компания должны сделать всё возможное для возврата остальных жестких дисков фотокопировальных устройств от арендодателя  и обеспечить защищённость находящихся на них персональных медицинских данных. Компания Affinity обязана документировать предпринимаемые ею усилия, и в случае неспособности вернуть жёсткие диски, ей придётся давать объяснения Управлению.

Это действия регулятора служат напоминанием для всех организаций, подпадающих под действие закона HIPAA, о том, что:
  • Компьютеры и ноутбуки - не единственные устройства, имеющие жесткие диски. Копиры, факсы, ноутбуки и карманные PDA-компьютеры также оснащены внутренними устройствами хранения информации, на которых может находиться подлежащие защите персональные медицинские данные;

  • Самостоятельно поданное извещение о возможной утечке незащищённых конфиденциальных данных может стать причиной расследования. В данном случае расследование Управления и последующее мировое соглашение стали результатом поданного компанией Affinity извещения, а не жалобы или аудита;

  • Масштабные утечки данных обычно наказываются более крупными штрафами;

  • Большие штрафы неприятны, но обязательные Планы мероприятий по устранению недостатков также могут оказаться суровыми, а их исполнение - дорогостоящим. Подобный плана для Affinity требует принятия широкомасштабных мер в жесткие временные сроки и  условиях строгого надзора со стороны Управления по гражданским правам. Affinity будет выполнять этот план на свои собственные средства.
Диана Бурке (Dianne J. Bourque)

Источник: блог «Вопросы права и политики в здравоохранении» (Health Law & Policy Matters)
http://www.healthlawpolicymatters.com/2013/08/15/seven-figure-hipaa-settlement-prompted-by-photocopier-breach/

2 комментария:

  1. Как-то негуманно. За добровольное признание полагались поблажки. Да и вероятность реальной утечки перс.данных кажется очень небольшой.

    ОтветитьУдалить
  2. В США обычно можно вернуть часть штрафа, если компания выполнит предписания которые ей были выданы.

    ОтветитьУдалить