пятница, 26 августа 2016 г.

США: На компанию Advocate Health наложен рекордный штраф за длительные нарушения требований закона HIPAA по защите медицинских данных


Заметка Джозефа Гёдерта (Joseph Goedert) была опубликована 5 августа 2016 года на сайте Information-Management.com

4 августа 2016 года на крупнейшую в американском штате Иллинойс медицинскую сеть Advocate Health Care ( https://www.advocatehealth.com/ ) был наложен самый крупный изо всех штрафов, которые когда-либо приходилось получать учреждениям здравоохранения, привлеченным к ответственности за несоблюдение требований закона HIPAA.

Мой комментарий: Закон о переносимости и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA) был принят в 1996 году. В ряде положений части II закона HIPAA рассматриваются вопросы защиты медицинских данных и защиты неприкосновенности личной жизни. См. также подборку http://rusrim.blogspot.ru/search/label/HIPAA

Управление Министерства здравоохранения США по гражданским правам (HHS Office for Civil Rights, OCR) оштрафовало Advocate на 5.55 миллиона долларов. Объявляя о наказании, Управление отметило, что размер штрафа стал «результатом масштабов и длительности нарушений (в некоторых случаях, начиная с момента введения законом правил обеспечения безопасности информации и документов), вовлечения Генерального прокурора штата в ход соответствующего расследования, а также большое количество граждан, чья информация была затронута в результате действий компании Advocate, являющейся одной из крупнейших систем здравоохранения в стране».

В заявлении, приуроченном к объявлению решения о штрафе, директор OCR Джоселин Сэмюэлс (Jocelyn Samuels) отметила: «Мы надеемся, что данное решение пошлёт сильный сигнал подпадающим под требования HIPAA организациям о том, что они должны проводить всесторонний анализ рисков и управлять рисками с тем, чтобы обеспечить безопасность электронной защищаемой информации о здоровье (protected health information) физических лиц».

В 2013 году компания Advocate представила три уведомления об отдельных инцидентах безопасности, имевших место в рамках дочерней компании Advocate Medical Group и затронувших около 4 миллионов человек.

Мой комментарий: Таким образом, в расчете на одного пострадавшего утечка персональных медицинских данных наказана на сумму менее чем в полтора доллара (порядка 100 рублей) :) Сами пострадавшие могут потерять (и часто реально теряют) многие тысячи долларов вследствие подобных инцидентов. Так что штраф хотя и большой, но на самом деле очень скромный по сравнению с теми потерями, которые могут быть у компании, если пострадавшие массово пойдут в суд за компенсациями.

В ходе последующего исследования Управление по гражданским правам выявило существенные недостатки:
  • В том, как компания проводила оценку рисков, связанных с защищаемой электронной медицинской информацией;

  • В том, как компания на практике реализовывала политики, процедуры и меры управления доступом на своих объектах для ограничения доступа к электронным медицинским документам;

  • В том, как компания контролировала защиту медицинской информации своими деловыми партнерами и

  • Как защищалась информация в незашифрованном ноутбуке, оставленном на ночь в незапертой автомашине.
В рамках плана корректирующих действий компания Advocat должна будет:
  • Провести всесторонний анализ рисков для имеющейся у неё защищаемой медицинской информации;

  • Реализовать общекорпоративный план управления в рисками;

  • Регулярно оценивать изменения в оперативной деятельности и изменения внешних условий, влияющие на безопасность электронных медицинских данных;

  • Представить отчет об использовании шифрования вместе с объяснениями по поводу применения устройств и оборудования без шифрования;

  • Разработать программу ознакомления и подготовки персонала по вопросам обеспечения усиленной защиты персональных данных и безопасности;

  • Представить план мониторинга хода выполнения компанией плана корректирующих действий; и

  • Проанализировать и доработать политики в отношении использования мер защиты устройств и носителей информации, управления доступом на объекты и контроля над своими деловыми партнерами.
Компания Advocate опубликовала следующее заявление об урегулировании вопроса с OCR: «Защита неприкосновенности частной жизни и конфиденциальности наших пациентов и одновременное обеспечение самого высокого уровня медицинского ухода и услуг являются нашими главными приоритетами. Как и все отрасли, имеющие дело с постоянно меняющимся электронным ландшафтом и воздействием, которое тот оказывает на безопасность, мы усилили наши меры по шифрованию данных для предотвращения повторений инцидентов такого рода. Хотя по-прежнему нет никаких признаков того, что информация была злонамеренно использована, мы глубоко сожалеем о тех неудобствах, которые этот инцидент создал для наших пациентов. Мы намерены и дальше в полной мере сотрудничать с правительством в интересах совершенствования мер по защите неприкосновенности частной жизни наших пациентов».

Джозеф Гёдерт (Joseph Goedert)

Источник: сайт Information-Management.com
http://www.information-management.com/news/security/advocate-health-hit-with-record-hipaa-fine-for-lenghty-violations-10029464-1.html

Комментариев нет:

Отправить комментарий