США: На компанию Advocate Health наложен рекордный штраф за длительные нарушения требований закона HIPAA по защите медицинских данных

Заметка Джозефа Гёдерта (Joseph Goedert) была опубликована 5 августа 2016 года на сайте Information-Management.com

4 августа 2016 года на крупнейшую в американском штате Иллинойс медицинскую сеть Advocate Health Care ( https://www.advocatehealth.com/ ) был наложен самый крупный изо всех штрафов, которые когда-либо приходилось получать учреждениям здравоохранения, привлеченным к ответственности за несоблюдение требований закона HIPAA.

Мой комментарий: Закон о переносимости и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA) был принят в 1996 году. В ряде положений части II закона HIPAA рассматриваются вопросы защиты медицинских данных и защиты неприкосновенности личной жизни. См. также подборку http://rusrim.blogspot.ru/search/label/HIPAA

Управление Министерства здравоохранения США по гражданским правам (HHS Office for Civil Rights, OCR) оштрафовало Advocate на 5.55 миллиона долларов. Объявляя о наказании, Управление отметило, что размер штрафа стал «результатом масштабов и длительности нарушений (в некоторых случаях, начиная с момента введения законом правил обеспечения безопасности информации и документов), вовлечения Генерального прокурора штата в ход соответствующего расследования, а также большое количество граждан, чья информация была затронута в результате действий компании Advocate, являющейся одной из крупнейших систем здравоохранения в стране».

В заявлении, приуроченном к объявлению решения о штрафе, директор OCR Джоселин Сэмюэлс (Jocelyn Samuels) отметила: «Мы надеемся, что данное решение пошлёт сильный сигнал подпадающим под требования HIPAA организациям о том, что они должны проводить всесторонний анализ рисков и управлять рисками с тем, чтобы обеспечить безопасность электронной защищаемой информации о здоровье (protected health information) физических лиц».

В 2013 году компания Advocate представила три уведомления об отдельных инцидентах безопасности, имевших место в рамках дочерней компании Advocate Medical Group и затронувших около 4 миллионов человек.

Мой комментарий: Таким образом, в расчете на одного пострадавшего утечка персональных медицинских данных наказана на сумму менее чем в полтора доллара (порядка 100 рублей) :) Сами пострадавшие могут потерять (и часто реально теряют) многие тысячи долларов вследствие подобных инцидентов. Так что штраф хотя и большой, но на самом деле очень скромный по сравнению с теми потерями, которые могут быть у компании, если пострадавшие массово пойдут в суд за компенсациями.

В ходе последующего исследования Управление по гражданским правам выявило существенные недостатки:

• В том, как компания проводила оценку рисков, связанных с защищаемой электронной медицинской информацией;


• В том, как компания на практике реализовывала политики, процедуры и меры управления доступом на своих объектах для ограничения доступа к электронным медицинским документам;


• В том, как компания контролировала защиту медицинской информации своими деловыми партнерами и


• Как защищалась информация в незашифрованном ноутбуке, оставленном на ночь в незапертой автомашине.

В рамках плана корректирующих действий компания Advocat должна будет:

• Провести всесторонний анализ рисков для имеющейся у неё защищаемой медицинской информации;


• Реализовать общекорпоративный план управления в рисками;


• Регулярно оценивать изменения в оперативной деятельности и изменения внешних условий, влияющие на безопасность электронных медицинских данных;


• Представить отчет об использовании шифрования вместе с объяснениями по поводу применения устройств и оборудования без шифрования;


• Разработать программу ознакомления и подготовки персонала по вопросам обеспечения усиленной защиты персональных данных и безопасности;


• Представить план мониторинга хода выполнения компанией плана корректирующих действий; и


• Проанализировать и доработать политики в отношении использования мер защиты устройств и носителей информации, управления доступом на объекты и контроля над своими деловыми партнерами.

Компания Advocate опубликовала следующее заявление об урегулировании вопроса с OCR: «Защита неприкосновенности частной жизни и конфиденциальности наших пациентов и одновременное обеспечение самого высокого уровня медицинского ухода и услуг являются нашими главными приоритетами. Как и все отрасли, имеющие дело с постоянно меняющимся электронным ландшафтом и воздействием, которое тот оказывает на безопасность, мы усилили наши меры по шифрованию данных для предотвращения повторений инцидентов такого рода. Хотя по-прежнему нет никаких признаков того, что информация была злонамеренно использована, мы глубоко сожалеем о тех неудобствах, которые этот инцидент создал для наших пациентов. Мы намерены и дальше в полной мере сотрудничать с правительством в интересах совершенствования мер по защите неприкосновенности частной жизни наших пациентов».

Джозеф Гёдерт (Joseph Goedert)

Источник: сайт Information-Management.com
http://www.information-management.com/news/security/advocate-health-hit-with-record-hipaa-fine-for-lenghty-violations-10029464-1.html