近日,美国卫生部对违反卫生信息流通与责任法案(HIPAA)的医疗机构开出罚单。
费城的大主教管区天主教卫生保健服务中心同意为2014数据泄露事件支付65万美金的罚款。
为个人健康信息和健康记录提供实体服务的组织,比如私人诊所和医院,现在必须遵守卫生信息流通与责任法案 (HIPAA) 对于安全和隐私保护的要求。
到目前为止,负责法案管理的美国健康和人权服务部门的公民权利办事处(OCR)已经采取了一些措施来执行HIPAA。
OCR最近与费城的大主教管区天主教卫生保健服务中心(CHCS)就2014年的数据泄露事件达成和解协议,在那次事件中,疗养院内一部移动设备被盗,设备中包含超过400位患者的隐私健康数据,而这些数据完全没有进行加密。
和解要求CHCS支付65万美金的罚款,并采取改正措施来防止类似事件再次发生。改正措施要求服务中心建立实施正式的风险分析和风险管理程序,开发并维护一个书面的安全计划,其中应该包含数据加密、 密码管理、 事件响应、 设备控制、 登陆监视和灾难恢复等内容。
OCR主任Jocelyn Samuels在关于这份和解的声明中表示,“商业合作必须遵循HIPAA安全条例,在创建、接收、维护和传输健康信息的过程中都必须对数据实行电子保护。”
CHCS为在费城地区生活的老年人提供生活服务,如住房、 护理管理和支持等,这也是第一个违反HIPAA条约的组织。
费城的巴拉德帕尔律师事务所的一位律师Odia Kagan表示,OCR这次的执法行动突出了相关组织十分有必要遵循HIPAA规定,妥善处理这些受保护的健康信息(PHI)。
Kagan还说,“他们应该定期进行风险评估,以确保自身系统中的PHI没有泄露的风险,不管是从内部还是从外部泄露。”此外,他们应该确保书面计划和程序的顺利实行,来保护系统中PHI的机密性、完整性和可用性。
她还告诫说,相关机构会在未来面临更多的OCR此类审计和执法行动。
OCR最近推出了HIPAA审计计划的第二阶段计划,也已经向大约167家相关机构发送了电子邮件,邮件告知了OCR将会对其进行审计,审计内容包括是否向患者告知安全事项、是否为PHI提供了安全通道、泄露响应是否到位,以及是否定期进行法规执行审计等。
根据OCR所说,HIPAA审计程序的第二阶段定于今年晚些时候开始,涉及范围不再仅仅是相关健康机构,还包括这些机构的合作伙伴。
Kagan还表示,这样的事态发展应该已经使得相关行业不再仅仅关注审计情况,而且还关注可能出现的后果。如果相关机构充分准备,并且采取了正确措施来保护PHI,那么他们就一定会在审计中表现良好。
发表评论
您还未登录,请先登录。
登录